haproxy SSL mit neuer cantao Installation - baseURL?

**localtechi** · 07.11.2020, 16:28

Hallo zusammen

Ich versuche mich gerade das erste mal mit Contao 4.9. Ich konnte soweit alles installieren, als ich jedoch zum ersten mal ins Backend einlogen wollte, kam die Warnung des Browser bezüglich gemischten aktiven Inhalten mit http und https. Im Seitenquelltext werden im Browser nur http Links angezeigt. Ich habe nun einiges von diesem Forum ausprobiert, leider ohne Erfolg.

Situation:
Es läuft vor dem Webserver ein haproxy mit dem SSL, welcher auch immer auf https redirected
Nun habe ich folgende configs, in verschiedenen Varianten probiert - so wie ich es in div. Forumsbeiträgen gefunden habe:

im system/config/localconfig.php
Variante 1:
$GLOBALS['TL_CONFIG']['proxyServerIps'] = 'IP';
$GLOBALS['TL_CONFIG']['sslProxyDomain'] = 'www.domain.com';

Variante 2:
if ($_SERVER['HTTP_X_FORWARDED_HOST'] == "www.domain.com") {
$_SERVER['HTTPS'] = 1;
}

Variante 3:
$_SERVER['HTTPS'] = 1;

Variante 4:
TRUSTED_PROXIES=IP/24
Request::setTrustedProxies(['IP']);

Kann mir da jemand Licht ins Dunkle bringen?
Danke schon mal!

**Spooky** · 07.11.2020, 16:40

Die TRUSTED_PROXIES Umgebungsvariable sollte reichen. Die wird von Contao automatisch benutzt.

**localtechi** · 08.11.2020, 08:49

Danke dir schon mal für die Antwort!

Wo soll die Variable eingetragen werden? Wenn ich es unter system/config/localconfig.php platziere, bekomme ich einen Syntaxfehler:
...
TRUSTED_PROXIES=192.168.0.1/24
...

Wenn ich ein .env File im root-Verzeichnis erstelle mit der Variable, hat es keine Wirkung. Was muss ich sonst noch anpassen? Ich habe die Doku bezüglich Variablen angeschaut, aber scheinbar nicht verstanden.

**Spooky** · 08.11.2020, 10:28

Entweder als echte Umgebungsvariable oder über die .env oder .env.local, ja.

Und der Proxy befindet sich tatsächlich in der angegebenen IP Range?

**localtechi** · 08.11.2020, 12:46

Sorry, die IP war ein Platzhalter, so sieht nun mein .env im root-Verzeichnis aus:

#.env
TRUSTED_PROXIES=10.10.0.1/24

immer noch ohne Erfolg. Ich habs sogar mal mit der Public-IP des Proxy versucht, aber gleiches Resultat.

**Spooky** · 08.11.2020, 12:52

Trage in der index.php (oder einer test.php) mal ein

PHP-Code:


var_dump($_SERVER['REMOTE_ADDR']);

und greife über den Proxy darauf zu. Welche IP siehst du?

**localtechi** · 08.11.2020, 15:41

Spannend, es gibt mir die Public-Client IP aus, mit welcher ich die Seite aufrufe.

**localtechi** · 12.11.2020, 09:56

Zwischenstand:

Wenn beim haproxy das X-Forwarded-For ausgeschaltet ist, funktioniert alles, da die IP vom Proxy durchgegebn wird und nicht mehr vom Client.
Nachteil: Im Apache-Log sehe ich jetzt nur noch die eine IP des Proxy, was ich nicht so gut finde.

Ich suche weiter....

**Spooky** · 12.11.2020, 09:58

Zitat von localtechi

Wenn beim haproxy das X-Forwarded-For ausgeschaltet ist, funktioniert alles, da die IP vom Proxy durchgegebn wird und nicht mehr vom Client.

Meinst du wirklich ausgeschaltet? Eigentlich kann es nur funktionieren, wenn der Proxy die korrekten X-Forwarded-… Header liefert. Das ist eine Grundvoraussetzung.

**localtechi** · 12.11.2020, 10:12

Ich glaube ich habe jetzt eine Lösung:

Mein .env File:

PHP-Code:


#.env

TRUSTED_PROXIES=10.10.0.1/24,REMOTE_ADDR

und X-Forwarded-For Option ist bei haproxy wieder eingeschaltet.

Resultat: Backend funktioniert mit https und im Apache-Log sehe ich die Client-IP Adresse.
Keine Ahnung, kann das Sinn machen?